Аналізатор трафіку

Аналізатор трафіку, або сніффер (Від англ . to sniff - нюхати) - Мережевий аналізатор трафіку, програма або програмно -апаратний пристрій , призначений для перехоплення і подальшого аналізу, або тільки аналізу мережного трафіку , призначеного для інших вузлів.

Під час роботи сніффер мережевий інтерфейс перемикається в т.з. «Режим прослуховування » (Promiscuous mode) , що і дозволяє йому отримувати пакети , адресовані іншим інтерфейсам в мережі.

Перехоплення трафіку може здійснюватися:

  • звичайним « прослуховуванням »мережевого інтерфейсу ( метод ефективний при використанні в сегменті концентраторів ( хабів) замість комутаторів ( світч), інакше метод малоефективний , оскільки на сніфер потрапляють лише окремі фрейми);
  • підключенням сніффер в розрив каналу;
  • відгалуженням (програмним або апаратним ) трафіку і спрямуванням його копії на сніфер ;
  • через аналіз побічних електромагнітних випромінювань і відновлення таким чином прослуховується трафіку;
  • через атаку на канальному (2 ) (MAC - spoofing) Або мережевому (3 ) рівні (IP - spoofing) , що приводить до перенаправлення трафіку жертви або всього трафіку сегменту на сніфер з подальшим поверненням трафіку в належну адресу . \

На початку 1990- х широко застосовувався хакерами для захоплення призначених для користувача логінів і паролів , які у ряді мережевих протоколів передаються в незашифрованому або слабозашифрованому вигляді . Широке розповсюдження хабів дозволяло захоплювати трафік без великих зусиль у великих сегментах локальної мережі практично без ризику бути виявленим.

Сніфери застосовуються як в благих , так і в деструктивних цілях. Аналіз що пройшов через сніфер трафіку дозволяє:

  • Виявити паразитний, вірусний і закільцований трафік, наявність якого збільшує завантаження мережевого обладнання і каналів зв'язку ( сніфери тут малоефективні ; як правило , для цих цілей використовують збір різноманітної статистики серверами і активним мережним устаткуванням і її подальший аналіз) .
  • Виявити в мережі шкідливе і несанкціоноване ПЗ, наприклад , мережеві сканери , флудери , троянські програми , клієнти пірінгових мереж та інші (це зазвичай роблять за допомогою спеціалізованих сніффер - моніторів мережної активності) .
  • Перехопити будь-який незашифрований ( а деколи і зашифрований ) призначений для користувача трафік з метою отримання паролів і іншої інформації.
  • Локалізувати несправність мережі або помилку конфігурації мережних агентів (для цієї мети сніфери часто застосовуються системними адміністраторами)

Оскільки в « класичному » сніффер аналіз трафіку відбувається вручну , із застосуванням лише простих засобів автоматизації ( аналіз протоколів , відновлення TCP -потоку ) , то він підходить для аналізу лише невеликих його обсягів.

Знизити загрозу сніффінга пакетів можна за допомогою таких засобів як:

  • Аутентифікація
  • Криптографія
  • Антісніффери
  • Комутована інфраструктура
  • Сніфери :
    • Aircrack - ng
    • Wireshark
    • tcpdump
    • pcap - Бібліотека
    • Iris
    • WinDump
    • NSA - Моніторинг IP мереж NSA " ІнноВінн " .
    • Sniffit - Найперший сніфер , що отримав широку популярність. Тестувався на наступних ОС: GNU / Linux , SunOS , Solaris , FreeBSD , IRIX . У 1990- х роках був синонімом слова sniffer .
    • Ultra Network
    • Sniffer
    • Analyzer (Windows )
    • Packetyzer
    • Network General - Sniffer Technologies
    • IPDump2 , a portable packet sniffer - посилання не працює
    • LanGrabber - сніффер видобуває файли з мережного трафіку
    • Observer
    • Xplico Open source Internet Traffic Decoder ( NFAT )
    • 0x4553 - Intercepter
    • pTraffer Система збору , індексування та пошуку інформації з оповіщенням про появу ключових слів
    • Network Instruments GOSS , WOSS
Категорія: OS Windows
каталог сайтів UA TOP Bloggers